Gehackte provider daagt hackers opnieuw uit
De Amerikaanse e-mailprovider die 10.000 dollar uitloofde voor het kraken van de directeur zijn e-mailaccount, is ondanks een succesvolle poging door een trio hackers van plan om een nieuwe wedstrijd te organiseren. Volgens StrongWebmail was de eigen maildienst zo veilig, dat een hacker zelfs met een gebruikersnaam en wachtwoord niet zou kunnen inloggen, aangezien er ook een pincode is vereist, die via SMS wordt verstuurd. Om aandacht te genereren organiseerde het bedrijf een wedstrijd waarbij het 10.000 dollar uitloofde voor de hacker die toegang tot het account van de directeur zou krijgen.
Lance James, Aviv Raff en Mike Bailey wisten dit klusje via een Cross-site Scripting kwetsbaarheid te klaren. Het trio onderzoekers had het lek in de Rackspace webmail client binnen een minuut gevonden, en waren daarna zes uur bezig om hun aanval te perfectioneren. Het bedrijf heeft de aanval nu bevestigd en de 10.000 dollar uitbetaald. Toch laat het bedrijf zich niet afschrikken, zo laat het op de eigen website weten. "We rusten niet voordat we de meest veilige e-mail in de wereld hebben gemaakt." Voor de nieuwe wedstrijd zal het echter de regels aanscherpen, zodat hackers zich alleen op de SMS-authenticatie mogen richten.
Dat er daarnaast nog andere opties zijn, die wat minder veilig zijn..... Soit.
Als je als doel kiest het "meest veilige e-mail in de wereld" te maken, moet je ze het hele systeem laten testen en niet een specifiek onderdeel.
Nee dan heb je blijkbaar een flink gebrek aan gekwalificeerd personeel..... en ben je een heeel klein beetje publiciteits geil.
Dat hackers niet door je systeem komen is leuk, maar garandeert niets. Een ontwerp en QA garanderen ook niets, maar tonen aan dat er is nagedacht over architectuur en met oog voor detail is gebouwd. Hebben ze iets over het hoofd gezien, dan is dat makkelijk te achterhalen en te repareren. HTML injection in het subject, waarmee de boel gehackt is, is wel erg knullig.
Zodra het bedrijf dit soort regels instelt, is de wedstrijd nutteloos. Immers zullen kwaadaardige hackers zich ook niet aan dergelijke regels houden. Het ondermijnt ook het hele doel van de wedstrijd; aantonen dat de dienst veilig is. Indien men slim is, schrapt men deze regels, zodat men kan laten zien dat men het design (hopelijk) daadwerkelijk zo verbetert dat het niet lukt om het systeem te kraken.
naja, als je zelf bij de AIVD werkt is dat een leuke bonus toch? :)
Hahahah +1
Deze posting is gelocked. Reageren is niet meer mogelijk.
Ketenregisseur Gedigitaliseerde Criminaliteit en Cybercrime
Ben jij er klaar voor om de leiding te nemen in het bevorderen van de regionale samen-werking in de strijd tegen gedigitaliseerde criminaliteit en cybercrime? Samen met collega's, politie en regionale en landelijke partners? Dan is de dynamische rol van Ketenregisseur Gedigitaliseerde Criminaliteit en Cybercrime bij het Regionaal Samenwerkingsverband Integrale Veiligheid (RSIV) jouw op het lijf geschreven!
Digital Designer
Ben jij een Grafisch vormgever, UI-designer, Game-artist of gewoon een ‘self-proclaimed creative genius’, die op zoek is naar een leuke en uitdagende baan waarin je al je creativiteit kwijt kan?Je werkt samen met onze developers en UI/UX-designer aan onze Gamified Cybersecurity Challenges welke jij voorziet van de mooiste designs.
Cyber Security Trainer
"You know that feeling after you have been to the cinema and seen an exciting movie? It's the same after this training. I can only say that this is probably the BEST TRAINING that I've ever done!!!”
Are you ready for a challenge?
Senior Full Stack Developer
Als full stack developer bij Certified Secure maak je de mooiste cybersecurity challenges die onze deelnemers wereldwijd uitdagen en inspireren. Alle challenges zijn gebaseerd op actuele kwetsbaarheden, je komt dus telkens nieuwe technieken tegen, van machine learning tot web assembly, van Swift UI tot GCP.